安全系统的设计原则

1.安全体系结构定义：安全体系结构描述的是一个系统如何组织成一个整体以满足既定的安全性要求

2.安全体系结构组成：1） 详细描述系统中安全相关的所有方面。这包括系统可能提供的所有安全服务及保护系统自身安全的所有安全措施，描述方式可以用自然语言，也可以用形式语言。2） 在一定的抽象层次上描述各个安全相关模块之间的关系。这可以用逻辑框图来表达，主要用以在抽象层次上按满足安全需求的方式来描述系统关键元素之间的关系3） 提出指导设计的基本原则。根据系统设计的要求及工程设计的理论和方法，明确系统设计各方面的基本原则。4）提出开发过程的基本框架及对应于该框架体系的层次结构。描述确保系统安全需求的整个开发过程的所有方面

3. 安全体系结构作用：

安全体系结构在整个开发过程中必须扮演指导者的角色。①、要求所有开发者在开发前对安全体系结构必须达成共识②、在开发过程中自觉服从于安全体系结构③、在工程实现阶段也必须在体系结构的指导原则下进行工作。

因此：1）安全体系结构应该只是一个概要设计，而不是系统功能的描述。2）安全体系结构应该有模块化的特性。

4.七个设计原则：

(1)从系统设计之初就考虑安全性:因此在考虑系统体系结构的同时就应该考虑相应的安全体系结构。

(2)应尽量考虑未来可能面临的安全需求

(3)实现安全控制的极小化和隔离性:并不是建立的控制越多就越安全，最小开销达到最大的安全系。安全组件与其他组件隔离开来。

(4)实施极小特权 ：不应该让某些用户具有过高的权限。

(5)安全相关功能必须结构化：具有一个好的体系结构，安全相关的部分能够被确定，总体上能够很快对系统检查。对安全功能由清晰的易于规范的接口。

(6)使安全性能“友好” ：增加安全性不要给合法用户带来负担

(7)使安全性不依赖于保密：可以告诉用户摄像头在哪，可以告诉用户消防器在哪。

以上内容转自网络，版权归原作者所有。

1．网络信息安全的木桶原则

网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

2．网络信息安全的整体性原则

要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

3．安全性评价与平衡原则

对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。

4．标准化与一致性原则

系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5．技术与管理相结合原则

安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

6．统筹规划，分步实施原则

由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。

7．等级性原则

等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

8．动态发展原则

要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

9．易操作性原则

首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

1、系统的防护级别与被防护对象的风险等级相适应。防护级别共分为三级,按其防护能力由高到低定为一级防护、二级防护和三级防护，分别对应不同的被护对象。

2、技防、物防、人防相结合，探测、延迟、反应相协调。安全防范三种基本手段包括人力防范（人防）、实体防范（物防）和技术防范（技防），三者之间既各有针对方向，也相互配合。

3、满足防护的纵深性、均衡性、抗易损性要求。安全技术防范系统防护的纵深性、均衡性、抗易损性要求是相互联系的，抗易损性还与系统的维修性、保障性以及组织管理工作有密切联系。

4、满足系统的安全性、电磁兼容性要求。电磁兼容性是指设备或系统在其电磁环境中符合要求运行并不对其环境中的任何设备产生无法忍受的电磁骚扰的能力。

5、满足系统的可靠性、维修性与维护保障性要求。

6.满足系统的先进性、兼容性、可扩展性要求。

7.满足系统的经济性、适用性要求。经济性是从价格方面考虑是否适合，适用性从使用价值方面考虑是否满足需要。

第二，合理设计。比如监控点，不但要在平面图上进行规划，还要实地考察。不留死点。

第三，节省器材和材料，进行多个方案的优化设计。能用两个头就不用三个，能用两百米线就不用三百米。

第四，在设计时就要考虑系统的维护性，做到出现问题好查好修好维护。

第五，采购器材，这件事很纠结。一般业主比较扣门，价格压得很低，保修期也要求不长。这样的情况下可以要求供应商提出保质，比方说一年半、两年等。先押一部分款。

第六，培训是必要的，要选出用户中有能力的人来负责弱电系统。

三权分立角色模型属于开放安全设计原则。

设计不应该是秘密，开放设计更安全，现在更关注在密钥上，而不是算法上。算法很多都是开源的，公开的。不要用“私有”的加密算法。

如果是初次接触这个安全原则，可能会很难理解。通常会认为不要让我们的源代码泄露，更不能让加解密相关的重要源码泄露。

但依据“公开设计”的安全原则，我们可以开放源代码后、我们的系统依然是安全的。一个典型相悖于“公开设计”原则的例子就是私有加密算法，误以为使用自己设计的加密算法更加安全。

使用白名单：

与白名单相对的就是黑名单，白名单机制可能导致“误杀”，而黑名单机制可能导致“误放”。在平衡“误杀”与“误放”时，通常更倾向于“误杀”。

因为一旦“误放”我们系统就被黑客攻破，而“误杀”带来的其他问题可以设计诸如手动添加白名单等机制来解决，同时白名单机制还有可能能够防御各种未发现的安全隐患。

2．最好应用描述协议的形式语言，对安全协议本身进行形式化的描述

3.通过形式化分析方法证明安全协议实现设计目标

4.安全性与具体采用的密码算法无关

5保证临时值与会话密钥等重要消息的新鲜性，防止重放攻击

6.尽量采用异步认证方式

7.具有抵抗常见攻击，特别是重放攻击的能力

8.进行运行环境的风险分析，做尽可能少的初始安全假设

9.实用性强

10.尽可能减少密码运算

在任何情况下，必须保证的故障—安全设计的基本原则如下：

1）保证人员安全；

2）保护环境，避免引起爆炸或火灾之类的灾难事故；

3）防止产品损坏；

4）防止降低产品性能使用或丧失功能。

故障—安全设计是确保故障发生后不会影响系统安全，或使系统处于不会伤害人员或损坏产品的工作状态。在大多数的应用中，这种设计在系统发生故障时发挥作用并使系统停止工作。

安全性是指，产品所具有的不导致人员伤亡、系统损坏、重大财产损失或不危及人员健康和环境的能力。安全性是各类产品的一种共有的固有属性，与可靠性、维修性和保障性等密切相关，是各种产品必须满足的首要设计要求，是通过设计赋予的产品属性。

框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。

网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。

针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。